MegaLocker - NamPoHyu Virus (.crypted, .NamPoHyu, !DECRYPT_INSTRUCTION.TXT)

I am pretty nervous about dr web and Amigo a. How do they have an encryption that no one else does? how did the get the decrypting software before everyone else? how can they decrypt all ransomware? sounds like the other half of the Russian hackers

Dr.Web is a prominent and reputable security vendor based in Russia which has been around since 1992. The company provides both paid for and free security software solutions and assists ransomware victims with decryption services when possible. At one time Dr.Web CureIt! was one of out primary go to tools for removal of serious malware infections. You can read more information about Dr.Web and it's history here.

 

Amigo-A (Andrew Ivanov) is a trusted security professional who maintains a very useful Coders Crypto-Ransomware Information Index Blog and has helped many ransomware victims.

 

Also, on a related note...

Apparently we got infected through the Samba / SMB protocol.
I read on this website that we should use tool such as Shodan to test our security / ports, etc. I tried to check this, but I'm far from an expert on those aspects. Would someone indicate me an "how-to" article or tutorial on what to do to check that the potential security flaw on my network is now corrected and I'm not exposed again ? 

 

Thanks for your help.

A small up on my message from yesterday... Which tool  can I use to make sure my network is now safe ? 

 

grc shields up is a good tool to scan your system externally and see if/what shows up and how  i apparently had a handful of visible/open ports before, now i'm completely stealthed after this whole fiasco

I'm a victim and i'm posting here 

 

I also got in the DMZ trap. Boy did i learn something about securing my network!

 

 

Edit: Guess who stopped reading at page 3.. I have been lurking this thread since the day the topic was created, i didnt see that this had grown well past page 3! Sorry.

Edited by SenselessHat, 07 May 2019 - 12:24 PM.

Hello Demonslay335,

 

Thank you for what you are doing ! 

 

The tool doesn't work on my files. They were encrypted on 04/11/2019.

A ransom note and a pdf file : 

https://wetransfer.com/downloads/1643eb5ca9d1fc9e53339d57ac1242f520190508082416/7c8c6079f1167d146df1da123d3bbef020190508082416/ad1120

 

Cheers,

 

Guillaume

 

It unlocked everything of mine - And I do want to say a public tank you to the team and especially Demonslay for helping me recover things - I did have to move everything to a USB drive and then borrow a windows PC to run it on but the helper wax a breeze and it only took a couple of days to recover a few TB of file..

It unlocked everything of mine - And I do want to say a public tank you to the team and especially Demonslay for helping me recover things - I did have to move everything to a USB drive and then borrow a windows PC to run it on but the helper wax a breeze and it only took a couple of days to recover a few TB of file..

What date were affected? Was it before the 29th? I was told that since the hacker had a fit and started crying that they changed the encryption.

Edited by weroloco21, 08 May 2019 - 06:43 AM.

When will the updated decrypter come out??   have one here that is from sunday 5/5/19

 

Thanks

Да не было и нет никакого расшифровщика.
Дело было так: кто то, возможно эмисофт утянули с моего типа сайта базу с ID и AES-ключами.
Произошло это где-то 17.04. так как я находился в глубоком запое то aes-ключи перестали сливаться в базу только 26.04(до этого все автоматически сливалось). Поэтому максимально возможная дата расшифровки - 26.04 плюс минус день изза часовых поясов.

Чтож, крутые парни видимо. Просто в вебе и его защите я понимаю чуть больше чем нихуя(а ведь подсказывало подсознание - не храни ключи на сайте). Респект им и уважуха. Будет мне урок.

Их "расшифровщик" всего лищь определяет ID и обращается по определенному IP чтобы получить уведенный ключ и с его помощью расшифровать(если его нет то, и выдается сообщение мол мы не могем). Алгорит шифрования .crypted и .nampohyu один и тот же, я его не менял, просто у них нет ключей для .crypted, так как тогда и базы не было, следовательно и утягивать было нечего. Вы не задумывались причем тут ID и расшифровка? ID это вообще просто уникальный номер и только, с алгоритмом шифрования он никак не связан.

Был бы алгоритм расшифровки, не надо было бы никаких iD искать.
Для любого более менее нормального специалиста это очевидно.
Пусть эти русские педики из эмисофт подтвердят либо опровергнут мои слова. Они ведь русские, верно? То что педики  сомнений никаких не вызывает.
Зачем вы народу мозги морочите?

У меня третья стадия алкоголизма, я не раз Белочку за хвост гладил, резал себя, жег углями, дрался с ментами, жить мне осталось может пару лет, потом печень откажет или убьюсь нахуй или убьют кто нибудь, так что радуйтесь. Я все свою жизнь работал и зарабатывал честно, поверьте, но сейчас мне похуй на мораль, я такие дела творил что только бухой могу существовать на этом свете. Но перед смертью я обеспечу безбедное будущее своей матушке и своим детям пускай даже они все от меня отвернулись плюнули и забыли меня, я их все равно люблю. Так что проклиная меня, помните, - вы проклинаете мертвеца. Я конченный, больной, несчастный человек, так что ликуйте!!! Хаха вас обувает бухой в усмерть русский программист-алкоголик!!!

Да не было и нет никакого расшифровщика.
Дело было так: кто то, возможно эмисофт утянули с моего типа сайта базу с ID и AES-ключами.
Произошло это где-то 17.04. так как я находился в глубоком запое то aes-ключи перестали сливаться в базу только 26.04(до этого все автоматически сливалось). Поэтому максимально возможная дата расшифровки - 26.04 плюс минус день изза часовых поясов.

Чтож, крутые парни видимо. Просто в вебе и его защите я понимаю чуть больше чем нихуя(а ведь подсказывало подсознание - не храни ключи на сайте). Респект им и уважуха. Будет мне урок.

Их "расшифровщик" всего лищь определяет ID и обращается по определенному IP чтобы получить уведенный ключ и с его помощью расшифровать(если его нет то, и выдается сообщение мол мы не могем). Алгорит шифрования .crypted и .nampohyu один и тот же, я его не менял, просто у них нет ключей для .crypted, так как тогда и базы не было, следовательно и утягивать было нечего. Вы не задумывались причем тут ID и расшифровка? ID это вообще просто уникальный номер и только, с алгоритмом шифрования он никак не связан.

Был бы алгоритм расшифровки, не надо было бы никаких iD искать.
Для любого более менее нормального специалиста это очевидно.
Пусть эти русские педики из эмисофт подтвердят либо опровергнут мои слова. Они ведь русские, верно? То что педики  сомнений никаких не вызывает.
Зачем вы народу мозги морочите?

У меня третья стадия алкоголизма, я не раз Белочку за хвост гладил, резал себя, жег углями, дрался с ментами, жить мне осталось может пару лет, потом печень откажет или убьюсь нахуй или убьют кто нибудь, так что радуйтесь. Я все свою жизнь работал и зарабатывал честно, поверьте, но сейчас мне похуй на мораль, я такие дела творил что только бухой могу существовать на этом свете. Но перед смертью я обеспечу безбедное будущее своей матушке и своим детям пускай даже они все от меня отвернулись плюнули и забыли меня, я их все равно люблю. Так что проклиная меня, помните, - вы проклинаете мертвеца. Я конченный, больной, несчастный человек, так что ликуйте!!! Хаха вас обувает бухой в усмерть русский программист-алкоголик!!!

I respect your slight bit of honesty. However, I would have to say that if you really want a good life for your kids then you can use your Gift for good. The US government will hire you in an instant and theyll help provide your kids a better life. So when you are gone your kids will see you as a hero instead of a villain ( this Deadpool, punisher or Batman). Your ransomware has caused my wife to loose her bookkeeping business, Ive seen many people destroyed by your ransomware, imagine what your kids will think of you?

Anyways let the encryption go or answer your emails lol

Clear. Friend, you are a fool. You paid before you got the decrypted files. These are your problems, but I am ready to help you. I do not care about the United States of America and their laws. If you want a dialogue, write me without a word DICK. You paid the wrong amount and only you are to blame.

At first I did not quite understand what you wrote. So, I’ll rather break in my belly, gobble up my gut, wrap my guts around and hang on the first tree I find, than work for the American government. My children, thanks to their mothers, won't even remember about me. Do not make me angry sir.

@NamPoHyu  thanks for the pain in the ass.  but I got all my data back !!!!           you really should do better things in life harming others is not a good legacy... 

At first I did not quite understand what you wrote. So, Ill rather break in my belly, gobble up my gut, wrap my guts around and hang on the first tree I find, than work for the American government. My children, thanks to their mothers, won't even remember about me. Do not make me angry sir.

By no means I would want to offend you. Also if you are ready help me what should I do?

 

@NamPoHyu  thanks for the pain in the ass.  but I got all my data back !!!!            you really should do better things in life harming others is not a good legacy... 

 

Удачи тебе, ублюдок, можешь станцевать на моих костях. Впрочем я ещё живой и танцевать буду я!

 

At first I did not quite understand what you wrote. So, Ill rather break in my belly, gobble up my gut, wrap my guts around and hang on the first tree I find, than work for the American government. My children, thanks to their mothers, won't even remember about me. Do not make me angry sir.

By no means I would want to offend you. Also if you are ready help me what should I do?

 

напиши мне по известному адресу, за свое упорство ты достоин расшифровки.